SlideShare una empresa de Scribd logo

It Risk Management

Descargar como PPTX, PDF
N
nosfidel

Este documento presenta una discusión sobre la administración de riesgos de tecnología de la información (TI) y su importancia para la gestión de riesgos corporativos. Explica que los sistemas de TI soportan las operaciones clave de una organización y que los riesgos de TI deben considerarse en el contexto más amplio de los procesos empresariales. Además, describe el proceso de administración de riesgos de TI, incluida la identificación, evaluación y opciones de manejo de riesgos, concluyendo que la seg

EmpresarialesEconomía y finanzas
1 de 21
Sistemas de información y la gestión de riesgo Administración Integral de Riesgo Corporativo Fidel Hernández, CISA México D.F. Junio 16, 2009
Agenda Administración de riesgos y la tecnología de información (TI) ¿Qué es diferente? Proceso de Administración de riesgos de TI Relevancia de TI en los procesos de la entidad Identificación de riesgos de TI Ciclo de vida de los sistemas (SDLC) Evaluación de riesgos dos enfoques Opciones de manejo de riesgos La seguridad de información y la gestión de riesgos 10/06/2009 Page 2 Administración Integral de Riesgo Corporativo
Administración de riesgos una definición “… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.” Fuente: COSO Enterprise Risk Management – Integrated Framework 2004 10/06/2009 Page 3 Administración Integral de Riesgo Corporativo
¿Qué es diferente con la tecnología de información? La tecnología permea efectivamente las operaciones de una organización. Habilita los procesos clave que permiten la entrega de sus productos y servicios. Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones. 10/06/2009 Page 4 !Suena importante! Administración Integral de Riesgo Corporativo
¿Qué es diferente con la tecnología de información?... El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización. La identificación de riesgos de TI en el contexto de toda la empresa, cambia laprotección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental. 10/06/2009 Page 5 No es un asunto exclusivo del área de TI Administración Integral de Riesgo Corporativo
Proceso de Administración de riesgos de TI 10/06/2009 Page 6 Administración Integral de Riesgo Corporativo
Relevancia de TI en los procesos de la organización 10/06/2009 Page 7 Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización. Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística. Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información. Administración Integral de Riesgo Corporativo
Identificación de riesgos de TI 10/06/2009 Page 8 Administración Integral de Riesgo Corporativo
Identificación de riesgos de TI 10/06/2009 Page 9 Administración Integral de Riesgo Corporativo
Identificación de riesgos de TI 10/06/2009 Page 10 Administración Integral de Riesgo Corporativo
10/06/2009 Page 11 Ciclo de desarrollo de sistemas Como lleno su requerimiento el usuario Como lo entendió el líder del proyecto Como lo diseñó el analista de sistemas Como lo escribió en código el programador Como es descrito por el gerente de la unidad de negocio Como se soportó el proyecto Como se documentó el proyecto Como fue instalado por el área de operaciones Como se facturó al cliente Esto es lo que el proceso necesitaba Administración Integral de Riesgo Corporativo
Ciclo de desarrollo de sistemas 10/06/2009 Page 12 Administración Integral de Riesgo Corporativo
Identificando controles existentes 10/06/2009 Page 13 Administración Integral de Riesgo Corporativo
Identificando controles existentes 10/06/2009 Page 14 Administración Integral de Riesgo Corporativo
Evaluación de riesgos dos enfoques… cuantitativo Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto. A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular. Facilita el análisis costo beneficio. 10/06/2009 Page 15 Administración Integral de Riesgo Corporativo
Evaluación de riesgos dos enfoques… cualitativo Una definición subjetiva del impacto Alto, puede resultar en la muy costosa pérdida de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias. Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas. Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización. 10/06/2009 Page 16 Administración Integral de Riesgo Corporativo
Matriz de decisiones de riesgo 10/06/2009 Page 17 Alto RIESGO ALTO RIESGO MEDIO I M P A C T O CONTROLAR Y MITIGAR TRANSFERIR RIESGO MEDIO RIESGO BAJO ACEPTAR CONTROLAR ALTA PROBABILIDAD Administración Integral de Riesgo Corporativo
Opciones de manejo de riesgos Aceptar el riesgo; monitoreando Evitar el riesgo Mitigar el riesgo; implementando controles que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización Transferir el riesgo; mediante decisiones de negocio como: Ousorcing, jointventures, diversificación Seguros 10/06/2009 Page 18 Administración Integral de Riesgo Corporativo
La seguridad de la información y la administración de riesgos El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad. Los procedimientos, políticas y controles de seguridad de información buscan evitar: Pérdida de integridad Pérdida de disponibilidad Pérdida de confidencialidad 10/06/2009 Page 19 Administración Integral de Riesgo Corporativo
¡GRACIAS!... ¿Preguntas? Fidel Hernández, CISA IT Audit Manager LatinAmerica CorporateAuditng The 3M Company Phone: 52 55 52 70 22 17 mailto: fchernandezgutierrez@mmm.com México D.F. Junio 16, 2009
Bibliografía y referencias “Risk Management Guide forInformationTechnologySystems;” RecomandationsontheNationalInstitute of Standards and Technology, U.S. Department of Commerce. Gary Stonenburner, Alice Goguen, Alexis Feringa. Washingtong D.C. NIST SpecialPublication 800-30 “COSO EnerpriseRisk Management-Integrated Framework;” Committe of SponsoringOrganizations of theTradewayCommision. Copyright © 2004. “IT Risk Management Guide;” Gerard Blokdijk, Claire Engle & JackieBrewster. Copyright © 2008 10/06/2009 Page 21 Sitios Web relacionados www.coso.org www.theiia.org www.isaca.org Administración Integral de Riesgo Corporativo

Recomendados

ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)
Gabriel Marcos
 
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Arsys
 
Valoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRCValoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRC
Hernan Huwyler, MBA CPA
 
Modelo de riesgos y controles
Modelo de riesgos y controlesModelo de riesgos y controles
Modelo de riesgos y controles
Monica Peña
 
La filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresLa filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversores
Ivan Bedia García
 
Compliance Risks
Compliance RisksCompliance Risks
Compliance Risks
Hernan Huwyler, MBA CPA
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Hernan Huwyler, MBA CPA
 
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Hernan Huwyler, MBA CPA
 

Recomendados

ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)
Gabriel Marcos
 
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Arsys
 
Valoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRCValoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRC
Hernan Huwyler, MBA CPA
 
Modelo de riesgos y controles
Modelo de riesgos y controlesModelo de riesgos y controles
Modelo de riesgos y controles
Monica Peña
 
La filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresLa filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversores
Ivan Bedia García
 
Compliance Risks
Compliance RisksCompliance Risks
Compliance Risks
Hernan Huwyler, MBA CPA
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Hernan Huwyler, MBA CPA
 
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Hernan Huwyler, MBA CPA
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Marcelo Herrera
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesDr. Lucas Burchard Señoret
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
CincoC
 
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
Cristian Garcia G.
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
Luis Fernando Aguas Bucheli
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
MARIAJOSEPRIVADOSOLO
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Ciro Bonilla
 
Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-
cbonilla1967
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
Roger Reverter
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
FabianaOcchiuzzi2
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
Sistemas Integrados de Gestión
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Universidad Dominicana OYM
 
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfTendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Demetrio Ccesa Rayme
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siAlexander Velasque Rimac
 
INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdfINTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
ildivo69
 
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
dntstartups
 

Más contenido relacionado

Similar a It Risk Management

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Marcelo Herrera
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
CincoC
 
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
Cristian Garcia G.
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
Luis Fernando Aguas Bucheli
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
MARIAJOSEPRIVADOSOLO
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Ciro Bonilla
 
Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-
cbonilla1967
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
Roger Reverter
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
FabianaOcchiuzzi2
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
Sistemas Integrados de Gestión
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Universidad Dominicana OYM
 
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfTendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Demetrio Ccesa Rayme
 

Similar a It Risk Management (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos Organizacionales
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfTendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&si
 

Último

INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdfINTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
ildivo69
 
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
dntstartups
 
METODOS DE VALUACIÓN DE INVENTARIOS.pptx
METODOS DE VALUACIÓN DE INVENTARIOS.pptxMETODOS DE VALUACIÓN DE INVENTARIOS.pptx
METODOS DE VALUACIÓN DE INVENTARIOS.pptx
BrendaRub1
 
PLAN DE MARQUETING -GESTION DE PROYECTOS
PLAN DE MARQUETING -GESTION DE PROYECTOSPLAN DE MARQUETING -GESTION DE PROYECTOS
PLAN DE MARQUETING -GESTION DE PROYECTOS
BlancaMoralesVeliz
 
EJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOS
EJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOSEJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOS
EJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOS
ArquitecturaClculoCe
 
Normas internacionales de informacion financiera16 Arrendamientos.pdf
Normas internacionales de informacion financiera16 Arrendamientos.pdfNormas internacionales de informacion financiera16 Arrendamientos.pdf
Normas internacionales de informacion financiera16 Arrendamientos.pdf
MaraDosil
 
contexto macroeconomico en nicaragua en la actulidad
contexto macroeconomico en nicaragua en la actulidadcontexto macroeconomico en nicaragua en la actulidad
contexto macroeconomico en nicaragua en la actulidad
RamiroSaavedraRuiz
 
Rendición de Encargos.pptxvvvhbbbbhhjj88
Rendición de Encargos.pptxvvvhbbbbhhjj88Rendición de Encargos.pptxvvvhbbbbhhjj88
Rendición de Encargos.pptxvvvhbbbbhhjj88
CesarCahue3
 
Presentación Rendición Cuentas 2023 SRI.pdf
Presentación Rendición Cuentas 2023 SRI.pdfPresentación Rendición Cuentas 2023 SRI.pdf
Presentación Rendición Cuentas 2023 SRI.pdf
Galo397536
 
Mario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdf
Mario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdfMario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdf
Mario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdf
Mario Mendoza Marichal
 
Plan Marketing Personal - Yolanda Fernández (1).pdf
Plan Marketing Personal - Yolanda Fernández (1).pdfPlan Marketing Personal - Yolanda Fernández (1).pdf
Plan Marketing Personal - Yolanda Fernández (1).pdf
ildivo69
 
Diseño Organizacional e Inteligencia Artificial
Diseño Organizacional e Inteligencia ArtificialDiseño Organizacional e Inteligencia Artificial
Diseño Organizacional e Inteligencia Artificial
Israel Alcazar
 
SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024
SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024
SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024
auyawilly
 
CARTA CEVICHON restaunrante ceviche y mariscos
CARTA CEVICHON restaunrante ceviche y mariscosCARTA CEVICHON restaunrante ceviche y mariscos
CARTA CEVICHON restaunrante ceviche y mariscos
JorgeCruz476458
 
PRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptx
PRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptxPRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptx
PRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptx
BrendaRiverameneses
 
Descripción breve de las distintas áreas de la empresa
Descripción breve de las distintas áreas de la empresaDescripción breve de las distintas áreas de la empresa
Descripción breve de las distintas áreas de la empresa
robertolagos14
 
SMEs as Backbone of the Economies, INCAE Business Review 2010
SMEs as Backbone of the Economies, INCAE Business Review 2010SMEs as Backbone of the Economies, INCAE Business Review 2010
SMEs as Backbone of the Economies, INCAE Business Review 2010
Anna Lucia Alfaro Dardón - Ana Lucía Alfaro
 
Valor que revierte al vendedor de la mercadería exportada
Valor que revierte al vendedor de la mercadería exportadaValor que revierte al vendedor de la mercadería exportada
Valor que revierte al vendedor de la mercadería exportada
Instituto de Capacitacion Aduanera
 
FINANZAS_CAJA CUSCO PROYECO DE TESIS .pptx
FINANZAS_CAJA CUSCO PROYECO DE TESIS .pptxFINANZAS_CAJA CUSCO PROYECO DE TESIS .pptx
FINANZAS_CAJA CUSCO PROYECO DE TESIS .pptx
YOLISALLOPUMAINCA
 
planeacion estrategica de psicologia organizacional
planeacion estrategica de psicologia organizacionalplaneacion estrategica de psicologia organizacional
planeacion estrategica de psicologia organizacional
smr12ramos
 

Último (20)

INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdfINTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
INTRODUCCION A LA ADMINISTRACION - SERGIO HERNANDEZ.pdf
 
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
El Pitch Deck de Facebook que Facebook utilizó para levantar su ronda de semi...
 
METODOS DE VALUACIÓN DE INVENTARIOS.pptx
METODOS DE VALUACIÓN DE INVENTARIOS.pptxMETODOS DE VALUACIÓN DE INVENTARIOS.pptx
METODOS DE VALUACIÓN DE INVENTARIOS.pptx
 
PLAN DE MARQUETING -GESTION DE PROYECTOS
PLAN DE MARQUETING -GESTION DE PROYECTOSPLAN DE MARQUETING -GESTION DE PROYECTOS
PLAN DE MARQUETING -GESTION DE PROYECTOS
 
EJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOS
EJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOSEJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOS
EJEMPLO SOLICITUD CERTIFICADO DE INFORMES PREVIOS
 
Normas internacionales de informacion financiera16 Arrendamientos.pdf
Normas internacionales de informacion financiera16 Arrendamientos.pdfNormas internacionales de informacion financiera16 Arrendamientos.pdf
Normas internacionales de informacion financiera16 Arrendamientos.pdf
 
contexto macroeconomico en nicaragua en la actulidad
contexto macroeconomico en nicaragua en la actulidadcontexto macroeconomico en nicaragua en la actulidad
contexto macroeconomico en nicaragua en la actulidad
 
Rendición de Encargos.pptxvvvhbbbbhhjj88
Rendición de Encargos.pptxvvvhbbbbhhjj88Rendición de Encargos.pptxvvvhbbbbhhjj88
Rendición de Encargos.pptxvvvhbbbbhhjj88
 
Presentación Rendición Cuentas 2023 SRI.pdf
Presentación Rendición Cuentas 2023 SRI.pdfPresentación Rendición Cuentas 2023 SRI.pdf
Presentación Rendición Cuentas 2023 SRI.pdf
 
Mario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdf
Mario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdfMario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdf
Mario Mendoza Marichal Perspectivas Empresariales para México 2024 .pdf
 
Plan Marketing Personal - Yolanda Fernández (1).pdf
Plan Marketing Personal - Yolanda Fernández (1).pdfPlan Marketing Personal - Yolanda Fernández (1).pdf
Plan Marketing Personal - Yolanda Fernández (1).pdf
 
Diseño Organizacional e Inteligencia Artificial
Diseño Organizacional e Inteligencia ArtificialDiseño Organizacional e Inteligencia Artificial
Diseño Organizacional e Inteligencia Artificial
 
SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024
SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024
SESIaN N° 03.pptx GESTION PROYECTOS UCV 2024
 
CARTA CEVICHON restaunrante ceviche y mariscos
CARTA CEVICHON restaunrante ceviche y mariscosCARTA CEVICHON restaunrante ceviche y mariscos
CARTA CEVICHON restaunrante ceviche y mariscos
 
PRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptx
PRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptxPRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptx
PRESUPUESTO-POR-AREAS-DE-RESPONSABILIDAD.pptx
 
Descripción breve de las distintas áreas de la empresa
Descripción breve de las distintas áreas de la empresaDescripción breve de las distintas áreas de la empresa
Descripción breve de las distintas áreas de la empresa
 
SMEs as Backbone of the Economies, INCAE Business Review 2010
SMEs as Backbone of the Economies, INCAE Business Review 2010SMEs as Backbone of the Economies, INCAE Business Review 2010
SMEs as Backbone of the Economies, INCAE Business Review 2010
 
Valor que revierte al vendedor de la mercadería exportada
Valor que revierte al vendedor de la mercadería exportadaValor que revierte al vendedor de la mercadería exportada
Valor que revierte al vendedor de la mercadería exportada
 
FINANZAS_CAJA CUSCO PROYECO DE TESIS .pptx
FINANZAS_CAJA CUSCO PROYECO DE TESIS .pptxFINANZAS_CAJA CUSCO PROYECO DE TESIS .pptx
FINANZAS_CAJA CUSCO PROYECO DE TESIS .pptx
 
planeacion estrategica de psicologia organizacional
planeacion estrategica de psicologia organizacionalplaneacion estrategica de psicologia organizacional
planeacion estrategica de psicologia organizacional
 

It Risk Management

  • 1. Sistemas de información y la gestión de riesgo Administración Integral de Riesgo Corporativo Fidel Hernández, CISA México D.F. Junio 16, 2009
  • 2. Agenda Administración de riesgos y la tecnología de información (TI) ¿Qué es diferente? Proceso de Administración de riesgos de TI Relevancia de TI en los procesos de la entidad Identificación de riesgos de TI Ciclo de vida de los sistemas (SDLC) Evaluación de riesgos dos enfoques Opciones de manejo de riesgos La seguridad de información y la gestión de riesgos 10/06/2009 Page 2 Administración Integral de Riesgo Corporativo
  • 3. Administración de riesgos una definición “… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.” Fuente: COSO Enterprise Risk Management – Integrated Framework 2004 10/06/2009 Page 3 Administración Integral de Riesgo Corporativo
  • 4. ¿Qué es diferente con la tecnología de información? La tecnología permea efectivamente las operaciones de una organización. Habilita los procesos clave que permiten la entrega de sus productos y servicios. Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones. 10/06/2009 Page 4 !Suena importante! Administración Integral de Riesgo Corporativo
  • 5. ¿Qué es diferente con la tecnología de información?... El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización. La identificación de riesgos de TI en el contexto de toda la empresa, cambia laprotección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental. 10/06/2009 Page 5 No es un asunto exclusivo del área de TI Administración Integral de Riesgo Corporativo
  • 6. Proceso de Administración de riesgos de TI 10/06/2009 Page 6 Administración Integral de Riesgo Corporativo
  • 7. Relevancia de TI en los procesos de la organización 10/06/2009 Page 7 Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización. Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística. Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información. Administración Integral de Riesgo Corporativo
  • 8. Identificación de riesgos de TI 10/06/2009 Page 8 Administración Integral de Riesgo Corporativo
  • 9. Identificación de riesgos de TI 10/06/2009 Page 9 Administración Integral de Riesgo Corporativo
  • 10. Identificación de riesgos de TI 10/06/2009 Page 10 Administración Integral de Riesgo Corporativo
  • 11. 10/06/2009 Page 11 Ciclo de desarrollo de sistemas Como lleno su requerimiento el usuario Como lo entendió el líder del proyecto Como lo diseñó el analista de sistemas Como lo escribió en código el programador Como es descrito por el gerente de la unidad de negocio Como se soportó el proyecto Como se documentó el proyecto Como fue instalado por el área de operaciones Como se facturó al cliente Esto es lo que el proceso necesitaba Administración Integral de Riesgo Corporativo
  • 12. Ciclo de desarrollo de sistemas 10/06/2009 Page 12 Administración Integral de Riesgo Corporativo
  • 13. Identificando controles existentes 10/06/2009 Page 13 Administración Integral de Riesgo Corporativo
  • 14. Identificando controles existentes 10/06/2009 Page 14 Administración Integral de Riesgo Corporativo
  • 15. Evaluación de riesgos dos enfoques… cuantitativo Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto. A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular. Facilita el análisis costo beneficio. 10/06/2009 Page 15 Administración Integral de Riesgo Corporativo
  • 16. Evaluación de riesgos dos enfoques… cualitativo Una definición subjetiva del impacto Alto, puede resultar en la muy costosa pérdida de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias. Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas. Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización. 10/06/2009 Page 16 Administración Integral de Riesgo Corporativo
  • 17. Matriz de decisiones de riesgo 10/06/2009 Page 17 Alto RIESGO ALTO RIESGO MEDIO I M P A C T O CONTROLAR Y MITIGAR TRANSFERIR RIESGO MEDIO RIESGO BAJO ACEPTAR CONTROLAR ALTA PROBABILIDAD Administración Integral de Riesgo Corporativo
  • 18. Opciones de manejo de riesgos Aceptar el riesgo; monitoreando Evitar el riesgo Mitigar el riesgo; implementando controles que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización Transferir el riesgo; mediante decisiones de negocio como: Ousorcing, jointventures, diversificación Seguros 10/06/2009 Page 18 Administración Integral de Riesgo Corporativo
  • 19. La seguridad de la información y la administración de riesgos El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad. Los procedimientos, políticas y controles de seguridad de información buscan evitar: Pérdida de integridad Pérdida de disponibilidad Pérdida de confidencialidad 10/06/2009 Page 19 Administración Integral de Riesgo Corporativo
  • 20. ¡GRACIAS!... ¿Preguntas? Fidel Hernández, CISA IT Audit Manager LatinAmerica CorporateAuditng The 3M Company Phone: 52 55 52 70 22 17 mailto: fchernandezgutierrez@mmm.com México D.F. Junio 16, 2009
  • 21. Bibliografía y referencias “Risk Management Guide forInformationTechnologySystems;” RecomandationsontheNationalInstitute of Standards and Technology, U.S. Department of Commerce. Gary Stonenburner, Alice Goguen, Alexis Feringa. Washingtong D.C. NIST SpecialPublication 800-30 “COSO EnerpriseRisk Management-Integrated Framework;” Committe of SponsoringOrganizations of theTradewayCommision. Copyright © 2004. “IT Risk Management Guide;” Gerard Blokdijk, Claire Engle & JackieBrewster. Copyright © 2008 10/06/2009 Page 21 Sitios Web relacionados www.coso.org www.theiia.org www.isaca.org Administración Integral de Riesgo Corporativo